نکات و افزایش امنیت وردپرس
در این مقاله قصد داریم تا 6 نکته ساده اما بسیار مفید برای بالا بردن امنیت وردپرس شما ذکر کنیم.اگر چه نکات سا ده ای هستند اما توجه به اونها و رعایت یک سری موارد می تونه از خطر هک شدن سایت ما به شدت کم کنه و خدای ناکرده شاهد از بین رفتن قسمتی از اطلاعات خود و به زحمت افتادن برای رفع اونها نباشیم.
محدود کردن تلاش برای ورود
کسی که قصد هک کردن و صدمه زدن به وردپرس شما را دارد ، می تواند وارد صفحه لاگین شما شده و هرچندبار که دوست دارد با کاراکترها و username و رمز های عبور متفاوت تلاش کند که وارد سایت شما بشود.همینطور اگر طرف شما هم بشناسد از کاراکترهایی که بیشتر محتمل هستش که شما ازش استفاده کرده باشید استفاده می کند.
برای جلوگیری از این عمل توصیه می کنیم افزونه محدود کردن ورود به وردپرس ( limit-login-attempts ) را نصب کنید تا پس از چندبار وارد کردن اطلاعات خطا، از تلاش مجدد طرف جلوگیری شود.
حذف اطلاعاتی که خوده وردپرس می دهد
برای مثال اگر شما هنگام ورود شناسه وردپرس رو درست وارد کنید و رمز عبور اشتباه باشد ، وردپرس ارور می دهد رمز عبور نادرست است (یعنی شناسه درسته ، مشکلی نداشت !!! ) مثل شکل زیر
، ولی اگر هردو اشتباه باشد ارور دیگری می دهد مثلا شناسه معتبر نیست.
خوب این اطلاعات خوبی به هکر می دهد ، حالا ما باید جلوی اونو بگیریم.با وارد کردن این کدها به انتهای فایل function.php قالب خودتون این مشکل رو برطرف کنید.
function failed_login () { return 'the login information you have entered is incorrect.’ } add_filter ( 'login_errors', 'failed_login' );
باید کد را قبل از <? در انتهای فایل وارد کنید.
جلوگیری از ثبت نام
اگر به تنهایی مدیر وردپرس سایت خود هستید و چندین نویسنده ندارین یا مثل سایت من از قابلیت پست مهمان استفاده نمی کنید ، به قسمت تنظیمات همگانی وردپرس خود بروید و در گزینه عضویت تیک برای این که هر کس بتواند عضو شود رو بردارید.
جلوگیری از دسترسی به ادیتور ها
اگر خودتان یک قالب ثابت دارین و اهل این نیستین که تند تند قالب وردپرس رو عوض کنید یا اونو ویرایش کنید ، با اضافه کردن کد زیر به انتهای فایل function.php قالب خودتون جلوی ویرایش ها و تنظیمات رو بگیرید تا امنیت وردپرس شما بیشتر شود.
define ( 'DISALLOW_FILE_EDIT', true );
این نکته امنیتی رو برای سایت های دارای چندین نویسنده توصیه می کنیم ، همینطور اگر خواستین قالب جدید اضافه کنید برید و این کد را بردارید تا حق دسترسی برگردد.
مثل کد قبلی باید کد را قبل از <? در انتهای فایل وارد کنید.
مخفی نگه داشتن نسخه وردپرس
بطور مثال الان فایل readme.html وردپرس من رو میتونید مشاهده کنید ، این طوری هکر می تونه متوجه بشه که شما از چه نسخه ای از وردپرس استفاده می کنید و میاد و از نقاط ضعف احتمالی اون نسخه استفاده می کنه.برید این این فایل رو ویرایش کنید و نسخه رو از توش پاک کنید یا کلا فایل رو حذف کنید !
همینطور باید کد زیر را باز قبل از <? در انتهای فایل function.php قالب خودتون قرار بدید تا کسی نتونه اطلاعات امنیتی مربوط به وردپرس شما را بدست بیاره.
function remove_wp_version () { return ''; } add_filter ( 'the_generator', 'remove_wp_version' );
سلام آقای دکتر وقت بخیر
همه چیز درست کار میکنه فقط یک مشکل بزرگ وجود داره
وقتی این کد رو تو فانکشن قرار میدیم
function failed_login
البته کامل ننوشتم فقط یه قسمت کمشو نوشتم که متوجه بشید کدام منظورم هست
مثلا اکر کاربری شناسه مدیر رو درست وارد بکنه دیگه پیامی بهش نشون نمیده که رمزی که برای فلاین یوزر وارد کردین اشتباه است اما اون نام کاربری رو تایید میکنه! و اونی که بخواد متوجه بشه راحت متوجه میشه!
اگر امتحان نکردید امتحان کنید در صفحه ورود وردپرس یه نام کاربری غلط رو اگر وارد کنید خود به خود از کادر یا اون فیلد حذف میشه و پیام نادرست بودن هم میاد اما اگر یک نام کاربری رو درست وارد کنید اون پیام ندارست بودن نام کاربری و رمز عبور میاد اما خیلی ضایع نام کاربری رو تایید میکنه و نیازی به پیام نیست و راحت میشه فهمید چون اگر نام کاربری درست باشه از کادر یا اون فیلد حذف نمیشه!!! ولی اگر غلط باشه فیلد خالی میشه!! همین مورد این کد رو کلا بی معنی میکنه این چیزیه که خیلیها بهش دقت نمیکنن اما هکر راحت بهش دقت میکنه حالا باید به این کدها چند خطی اضافه بشه که اگر رمز عبور مدیر غلط نوشته شد و نام کاربری رو درست وارد کردیم. یعنی کاربر وارد کرد، نام کاربری هم از فیلد خالی بشه انگار که نام کاربری رو هم غلط وارد کرده و اگر تو فیلد باقی بمونه یعنی درست وارد شده و اون پیام دیگه فقط دل خوش کنکه!! استدعای من اینجاست که خواهش میکنم این کد رو اصلاح کنید و اگر امکانس وجود داره پاسخ بدید، موفق باشید یاعلی
سلام بعضی از افونه های مرور گرها مثل فایر فاکس خیلی راحت نشون میدن که این سایت از چی ساخته شده.از asp.php-wordpress
ایا کدی یا روشی هست که کسی خواست ببینه محتوا ساز سایت ما چیه بهش جواب نده؟ و نتونه ببینه
یامثلا سایت از وردپرسه و اون بخواد ببینه بزنه جوملا
از طریق رایانامه ممنون میشم در جریانم بزاری.
سلام
نیازی به این کار ها معمولا نیستش ، خیلی مشخصه کسی که یکم کار کرده یکم سایت رو ببینه مخصوصا سورس سایت رو کاملا مشخص هستش .
ممنون
کاش اموزش بدین چجور ادرس صفحه ورود به پنل رو عوض کنیم. منظورم همان:
http://www.site.com/wp-admin
مثلا تبدیل کنیم به :
http://www.site.com/admin
سلام
از افزونه All In One WP Security استفاده کنید .
سلام آرش جان.
خوندن این اطلاعات با این قلم خوب اونقدری برام لذت بخش هست که چند ساعتی میشه که دارم دکتر وردپرس گردی میکنم.
کد “حذف اطلاعاتی که خوده وردپرس می دهد”
رو تست کردم، مشکل داره، قبل از بسته شدن دستور php هم گذاشتمش اما کار نکرد، هرچند که توی سایت مرجع هم همین کد رو عیناً نوشته.
اما کد “مخفی نگه داشتن نسخه وردپرس” خطایی نداد و درست بود.
سلام
اون موقع که کد رو نوشتیک تست کردم مشکلی نداشته ، حتما تو نسخه جدید ، سرچ کنید شاید کد تغییر کرده ، اما گمان نکنم
خوشحالم کردید ، موفق باشید
سلام
من کد
function failed_login () {
return ‘the login information you have entered is incorrect.’
}
add_filter ( ‘login_errors’, ‘failed_login’ );
را وارد میکنم وذخیره هم میکنم ولی دیگه سایتم باز نمیشه.
چه کنم؟
سلام
چطور می تونم به فایل function.php در هاست دست پیدا کنم ؟
چون هر چی گشتم پیدا نکردم
سلام
پوشه های زیر رو به ترتیب باز کنید .
wp-content / themes بعد پوشه ی قالب رو باز کنید . فایل functions.php رو می تونید داخل پوشه قالب ببینید (البته در اکثر قالب ها چون ممکنه فایلشو نداشته باشه اصلا ) .
سلام
میخوام برم تو پوشه public_html ولی مرورگر ارور میده .
چطور باید وارد بشم که ارور نده ؟
سلام من کد define ( ‘DISALLOW_FILE_EDIT’, true );
رو به انتهای قسمت فانکشن اضافه کردم این خطا رو داد
شما مجوز کافی برای دسترسی بهاین برگه را ندارید.
الان دیگه قسمت ویرایشگر از قسمت قالبم حذف شده چیکار کنم .
ممنون
سلام
کد زیر رو انتهای فانکشنز اضافه کردم دیگه همه چی سفید شد! هم کنترل پنل و هم سایت نشون داده نمیشه!
لطفاً سریعاً راهنمایی کنید که چیکار کنم؟
function remove_wp_version () {
return ”;
}
add_filter ( ‘the_generator’, ‘remove_wp_version’ );
سلام
این ها کدهای php هستند و کدهای php باید داخل دوتا تگ
قرار میگیرند. در صورت وجود مشکل به کنترل پنل هاست (نه وردپرس) برید و کدها رو پاک کنید تا درست بشه.
موفق باشید
داداش کاش به مطلب اصلی این کد ها رو اضافه کنی تا مشکلی پیش نیاد.
تشکر
سلام ارش جون
اول شرمنده که اینجا سوالم رو میپرسم نتونستم موضوع مورد نظرم رو پیدا کنم تا زیرش نظر بزار
سوالم اینه که چطور میتونم عنوان سایتم رو بردارم و به جای کل هدرم یه عکس هم سایز با هدر بزارم
البته میدونم که باید فایلheader.phpرو تغییر بدم و کد عکسم رو قرار بدم ولی نمیدونم باید دقیقا چکار کنم
لطف میکنی و کدهای phpرو به من بگی
میتونی یه سایتم سر بزنی و ببینی پی میگم
ممنون
سلام،
فایل header.php و کدهای php به اون قسمت از سایت مربوط نیست و باید کدهای استایل رو تغییر بدید.
با تشکر
سلام آقای دکتر!
سال نو مبارک.
راهنمایی هاتون توی زمینه استفاده از مرورگر گوگل کروم بهم خیلی کمک کرد.ممنونم.
راستش من از بیشتر برنامه های کامپیوتری، یه چیزای سطحی بلدم!
به خاطر همین کلا چیز زیادی بلد نیستم! در حد انجام پروژه های دانشجوییم.
میخواستم راهنماییم کنید. میشه بگید برای اینکه اطلاعاتم خیلی خیلی زیاد بشه و از همه چیز سر در بیارم باید چه کار کنم؟؟یا چه منابعی رو بخونم؟؟
خیلی خیلی سپاسگزارم.
سلام،خیلی شما لطف دارید
راستش به نظر من به صورت اختصاصی یک موضوع رو انتخاب کنید و روش کار کنید مثل فتوشاپ،…
راستی سال نو شما هم مبارک